还是上一篇的问题
在一内部局域网中,
client 内网地址为 10.0.0.2
web 服务器内网地址为 10.0.0.1 外网地址为 211.6.15.1 域名为 xx.love.com
问题:在内网10.0.0.2的机器上访问 外网地址 211.6.15.1 或者域名 xx.love.com 都无法访问,
上一篇中提到的cisco asa设备 不能访问是因为 asa 它不允许数据流从内部流到外部再流回内部,所以连接会超时
这里从tcp协议的角度来分析下:
| 包 动作 | 包 目的地址 | 包 源地址 |
| 10.0.0.2发出包(第一次握手) | 211.6.15.1 | 10.0.0.2 |
| 到达路由器外网端口 nat 转换后 | 10.0.0.1 | 10.0.0.2 |
| 10.0.0.1接包后 回复包(第二次握手) | 10.0.0.2 | 10.0.0.1 |
| 包到达交换机 直接被转发(不过路由器)! | ||
| 10.0.0.2 接到包 | 10.0.0.2 | 10.0.0.1 |
| 10.0.0.2此刻在等待211.6的第二次握手 | ||
| 10.0.0.2却接到10.0.0.1的第二次握手 丢弃 | ||
| 10.0.0.1 却还在等待 10.0.0.2的第三次握手 | ||
| 没有结果的等待…… |
!在这一步中 包也可能经过交换机到达路由器的内网接口,由于是发往内部主机的,路由器还是不会启用pat转换,而是通过直连路由直接转发给你的客户机10.0.0.2,这样你的客户机10.0.0.2仍然收不到源地址为211.6.15.1的回应包,还是不能成功建立连接。
!在这里还有一种情况 ,如果路由器将你发往211.6.15.1的数据包算做是发往外网,对其做了pat转换,或路由器是强制地址转换的,那么该数据包的源地址将变为211.6.15.1到达路由器外部接口,而路由器如果有相关防错功能,也许该数据包就直接被干掉了。
如果可以继续转发那么该数据包将以源地址为200.200.200.1目标地址192.168.0.1到达web服务器。而服务器回应的数据包就会以目标地址200.200.200.1 源地址200.200.200.1到达路由器外部接口。而路由器外部接口此时就晕了。
如果可以继续转发那么该数据包将以源地址为200.200.200.1目标地址192.168.0.1到达web服务器。而服务器回应的数据包就会以目标地址200.200.200.1 源地址200.200.200.1到达路由器外部接口。而路由器外部接口此时就晕了。
解决方法:
有些路由器内部设置可以 纠正此问题。
如果不通过路由器解决,可以在内网建一台dns服务器。
自建dns太费时间,也可以修改机器的host文件
自建dns太费时间,也可以修改机器的host文件